Azure Active DirectoryをIDプロバイダーにする

Azure Active Directoryに認証を委任するには、OktaでIDプロバイダー(IdP)として構成する必要があります。

開始する前に

この手順を開始する

この手順には次のタスクが含まれます:

  1. Azure ADIDプロバイダーを追加する

  2. Microsoft AzureポータルでOktaアプリを更新する

Azure ADIDプロバイダーを追加する

  1. 管理コンソールで、[セキュリティー] > に移動します [Identity Providers(IDプロバイダー)]に移動します。
  2. [Add Identity Provider(IDプロバイダーを追加)]をクリックして、[Add SAML 2.0 IdP(SAML 2.0 IdPを追加)]を選択します。
  3. 名前フィールドにIDプロバイダーの AADまたは任意の名前を入力します。
  4. AUTHENTICATION SETTINGSエリアの以下のフィールドに入力します。

    フィールド
    IdPユーザー名

    idpuser.emailと入力します。

    フィルター

    (任意)

    [定義された正規表現パターンに一致するユーザー名のみを許可]チェック・ボックスを選択し、正規表現パターンを入力します。このパターンによりIdPユーザー名がフィルタリングされ、IdPが意図しないユーザーや特権ユーザーを認証するのを防ぐことができます。

    照合対象

    ドロップダウン・リストからOktaユーザー属性を選択します。例: Oktaユーザー名

    このOktaユーザー属性は、既存のユーザーを検索するためにIdPユーザー名と照合されます。

    Account Link Policy

    自動を選択すると、受信IdPユーザーがOktaの既存のユーザーにリンクされます。

    ユーザーを手動でリンクする場合、またはユーザーをリンクしない場合は、 無効を選択します。

    Auto-Link Restrictions

    (任意)

    指定した特定のグループに自動アカウント・リンクを制限できます。

    ドロップダウン・リストから 特定のグループを選択し、グループ名を入力します。一致するユーザーが指定されたグループのいずれかに属している場合にのみ、IdPユーザーが自動的にリンクされます。

    一致が見つからない場合(任意) 新規ユーザー(JIT)を作成を選択して、一致しないユーザー用に新しいアカウントを作成します。

  5. JIT設定エリアの以下のフィールドに入力します。

    フィールド
    プロファイル ソース

    既存ユーザーの属性を更新チェック・ボックスを選択します。

    Reactivation Settings

    (任意)

    Oktaのチェックボックスで[Oktaで非アクティブ化されたユーザーを再アクティブ化する][一時停止されているユーザーの一時停止を解除する]を選択します。

    Group Assignments

    (任意)

    プロビジョニング中のグループ割り当ての動作を定義するオプションを選択します。

    ユーザーを特定のグループに割り当てたり、SAML属性名とグループ・フィルターに基づいて欠落しているグループに追加したり、グループの完全同期を実行したりできます。

  6. SAMLプロトコル設定エリアの以下のフィールドに入力します。

    フィールド
    IdP発行者URI

    以前に記録したAzure AD [ Azure AD識別子 フィールドの値を入力します。

    IdPシングルサインオンURL

    前に記録したAzure AD ログインURL フィールドの値を入力します。

    IdP署名証明書[ファイルを参照]をクリックし、以前にダウンロードしたIDプロバイダーのPEMまたはDERキー証明書の場所を参照して、 [開く]をクリックします。

  7. [Add Identity Provider(IDプロバイダーを追加)]をクリックします。
  8. IDプロバイダーページで、AAD IDプロバイダーの展開() アイコンをクリックし、次のフィールドの値を記録します。
    • Assertion Consumer Service URL
    • オーディエンスURI

Microsoft AzureポータルでOktaアプリを更新する

  1. Microsoft Azureポータルにサインインし、左上のポータル・メニュー・アイコンをクリックして、 Azure Active Directoryを選択します。
  2. 左側のメニューで[ Enterprise Applications(エンタープライズ・アプリケーション)]をクリックし、アプリケーションのリストで[Okta]を選択します。
  3. 左メニューの シングル・サインオンをクリックし、 SAMLをクリックします。
  4. 基本SAML構成編集をクリックし、以下のフィールドに入力します。

    フィールド
    識別子(エンティティID)手順8で記録したオーディエンスURIの値を入力します。
    Assertion Consumer Service URL手順8で記録したAssertion Consumer Service URLの値を入力します。

  5. 保存閉じるをクリックします。

次の手順

Azure Active Directory属性をOkta属性にマッピングする